○天草広域連合情報セキュリティ対策に関する規程
平成26年2月18日
訓令第4号
目次
第1章 総則(第1条―第3条)
第2章 管理体制(第4条―第9条)
第3章 情報セキュリティ対策
第1節 情報資産(第10条―第14条)
第2節 情報セキュリティ対策の実施(第15条)
第3節 人的セキュリティの確保(第16条―第19条)
第4節 物理的セキュリティの確保(第20条―第24条)
第5節 技術的セキュリティの確保
第1款 情報資産のセキュリティの確保(第25条・第26条)
第2款 アクセス等の制限(第27条―第30条)
第3款 情報システムの調達(第31条)
第4款 コンピュータウイルス対策(第32条・第33条)
第5款 不正アクセス対策(第34条・第35条)
第6節 監視及び危機管理対策(第36条―第38条)
第4章 情報セキュリティ対策の違反への対応(第39条)
第5章 評価及び見直し(第40条―第42条)
第6章 委任(第43条)
附則
第1章 総則
(趣旨)
第1条 この規程は、天草広域連合(以下「広域連合」という。)の情報資産についてその管理を徹底するとともに、不正アクセス等の脅威から保護するために実施する情報セキュリティ対策に関し必要な事項を定めるものとする。
(1) 課等 天草広域連合事務局組織規則(平成19年規則第2号)別表第1及び別表第2に規定する課並びに別表第5に規定する会計課、天草広域連合消防本部の組織及び運営に関する規則(平成13年規則第26号)第2条に規定する課並びに天草広域連合消防本部及び消防署設置条例(平成13年条例第24号)別表に規定する消防署をいう。
(2) コンピュータ ハードウェア及びソフトウェアで構成する電子計算機並びに周辺装置をいう。
(3) ネットワーク コンピュータ等を相互に接続するための通信網及びその構成機器(ハードウェア、ソフトウェア等をいう。)
(4) 記録媒体 電子的情報を記録し、及び保存することのできるハードディスク、USBメモリ、光ディスクその他の媒体をいう。
(5) 情報システム コンピュータ及び記録媒体で構成される情報処理の仕組みで、独立又はネットワークとして広域連合の事務処理を行うものをいう。
(6) 情報資産 ネットワーク及び情報システムの開発及び運用に係る情報並びにこれらで取り扱う情報(紙等に出力された情報を含む。)をいう。
(7) 情報資産脅威 次に掲げる情報資産に対する脅威をいう。
ア 権限又は許可のない職員その他の者による故意の不正なアクセス、不正な操作による情報資産の持出し、漏えい、盗用、改ざん、消去等又は機器若しくは記録媒体の盗難、紛失、損傷、滅失等
イ 権限若しくは許可を受けた職員又は広域連合から業務の委託(地方自治法(昭和22年法律第67号)第244条の2第3項の規定による指定を含む。)を受けた者(以下「委託業者」という。)による過失の操作、故意の不正なアクセス、不正な操作による情報資産の持出し、漏えい、盗用、改ざん、消去等又は機器若しくは記録媒体の盗難、紛失、損傷、滅失等
ウ 情報資産に影響を及ぼす地震、落雷、火災等の災害及び事故、故障等の不測の事態
(8) 情報セキュリティ 情報資産にアクセスすることを認められた者だけが、アクセスできる状態を確保し、並びに情報及び処理方法が正確及び完全であることを確保し、並びに適正に利用できる状態を維持することをいう。
(9) 管理区域 コンピュータ又はネットワークに係る機器を設置し、及び管理するために必要な区域をいう。
(10) 特別管理区域 情報システムを稼働するために必要不可欠な中心となる機器(以下「サーバ等」という。)及び情報統括管理者が指定する重要度が高い情報資産に係る管理区域をいう。
(11) 情報セキュリティ実施手順書 個々の情報システムにおける情報セキュリティ対策及び緊急時の対応について、具体的な実施手順を明記した手順書をいう。
(適用範囲)
第3条 この規程は、広域連合における全ての情報資産、管理区域及び職員(臨時職員及び非常勤職員を含む。以下同じ。)に対して適用する。
第2章 管理体制
(総合情報統括管理者等の設置等)
第4条 この規程に基づき、情報セキュリティ対策の総括を行わせるため、総合情報統括管理者を置き、事務局長及び消防長をもって充てる。
2 総合情報統括管理者の職務を補佐するとともに、ネットワーク及び情報システム(以下「ネットワーク等」という。)等の安定した運用の管理を行わせるため、情報統括管理者を置き、事務局総務企画課長及び消防本部総務課長をもって充てる。
3 課等の長は、その所管する課等の情報セキュリティ管理者を統括するものとする。
4 情報統括管理者の指示により、ネットワークの運用に関し必要な事務を行わせるため、ネットワーク管理者を置き、事務局総務企画課財務監理係長及び消防本部総務課企画係長をもって充てる。
5 課等における情報セキュリティについて、情報システムの適正な管理及び運用を行わせるため、情報セキュリティ管理者を置き、課等の係長をもって充てる。
6 課等における情報システムの運用、更新等を行わせるため、情報システム担当者を置き、情報セキュリティ管理者がこれを選任する。この場合において、情報セキュリティ管理者は、ネットワーク管理者に当該職員を報告するものとする。
(総合情報統括管理者の職務)
第5条 総合情報統括管理者の職務は、次のとおりとする。
(1) 情報セキュリティ対策の総合調整に関すること。
(2) 職員に対する研修及び訓練の総括に関すること。
(情報統括管理者の職務)
第6条 情報統括管理者の職務は、次のとおりとする。
(1) ネットワークの運用及び更新に係る承認を行うこと。
(2) ネットワークを利用して構築する情報システムの開発、運用、更新等並びに情報セキュリティ実施手順書の作成及び運用の承認を行うこと。
(3) ネットワーク管理者を指揮監督すること。
(4) 情報資産脅威の発生又はそのおそれに関する報告を受けた場合は、総合情報統括管理者の指示を受け必要な措置を講ずること。
2 情報統括管理者は、総合情報統括管理者が不在のときは、その職務を代理する。
(課等の長の職務)
第7条 課等の長は、情報システムの適正な管理及び運用を図るため、所管する課等に係る次の業務を行う。
(1) 情報システムの開発、運用、更新等並びに情報セキュリティ実施手順書の作成及び運用の承認を行うこと。この場合において、ネットワークを利用するものについては、情報統括管理者の承認を受けなければならない。
(2) 情報セキュリティ管理者を指揮監督すること。
(3) 情報資産脅威の発生又はそのおそれに関する報告を受けた場合は、情報統括管理者の指示を受け必要な措置を講ずること。
(ネットワーク管理者の職務)
第8条 ネットワーク管理者は、情報統括管理者の承認を受けて、次の業務を行う。
(1) ネットワークを使用するコンピュータの管理及び運用を行うこと。
(2) 特別管理区域の管理を行うこと。
2 ネットワーク管理者は、総合情報統括管理者及び情報統括管理者のいずれもが欠けたときは、その職務を代理する。
(情報セキュリティ管理者の職務)
第9条 情報セキュリティ管理者は、所属する課等の長の承認を受けて、次の業務を行う。
(1) 所管する情報システムの開発、運用、更新等を行うこと。この場合において、ネットワークを用いた情報システムについては、あらかじめ、ネットワーク管理者と協議するものとする。
(2) 所管する情報システムに係る情報セキュリティ実施手順書の作成及び運用を行うとともに、当該手順書に定められている事項について所属する職員が実施し、及び遵守するよう指導すること。
(3) 所属する職員以外の者が、許可なく所管する情報システム及び記録媒体を利用し、又は情報資産を閲覧することのないよう適切な措置を講ずること。
(4) 所管する管理区域の管理を行うこと。
(5) 所管する情報資産に情報資産脅威の発生又はそのおそれのある場合は、所属する課等の長及びネットワーク管理者を通じて情報統括管理者に速やかに報告し、その指示に従い必要な措置を講ずること。
第3章 情報セキュリティ対策
第1節 情報資産
(情報資産の分類)
第10条 広域連合が保有する情報資産は、情報セキュリティの重要性に応じ、次の分類に区分する。
(1) 重要性分類1 天草広域連合情報公開条例(平成17年条例第1号)第7条に掲げる不開示情報を含む情報資産
(2) 重要性分類2 情報資産に対する被害が、広域連合の事務事業の執行等に影響を及ぼすと予測される情報資産(前号に該当するものを除く。)
(3) 前2号に掲げる情報資産以外の情報資産
(情報資産の管理責任)
第11条 情報資産は、当該情報資産を開発し、運用し、又は取り扱うネットワーク管理者若しくは情報セキュリティ管理者が管理しなければならない。
(情報システムの入出力データ)
第12条 情報セキュリティ管理者は、情報システムにデータが適切に入出力されていることを随時確認するよう努めるものとする。
(記録媒体の管理)
第13条 職員は、次に掲げるところにより、記録媒体を管理しなければならない。
(1) ネットワーク等における記録媒体の管理は、常時適切に行うこと。
(2) 改変を認めない情報資産を記録した記録媒体は、改変することができないよう措置した上で保管すること。
(3) 情報システムから取り出し、又は取り外して持ち運びが可能な記録媒体(以下「取出可能記録媒体」という。)で重要性分類1に該当する情報資産が記録されたものは、施錠が可能で安全な場所に保管すること。
(4) 重要性分類1又は重要性分類2に該当する情報資産を記録した取出可能記録媒体を職員以外の者との間で授受する必要がある場合は、守秘義務、損害賠償等を明記した契約(協定等を含む。以下同じ。)を締結し、安全かつ確実な受渡しの方法をとること。
(記録媒体の処分)
第14条 職員は、記録媒体が不要となった場合は、当該記録媒体に記録されている情報資産をいかなる方法でも復元できないよう完全な消去、破壊等を行った上で、廃棄しなければならない。この場合において、重要性分類1に該当する情報資産を記録した記録媒体の廃棄は、情報セキュリティ管理者の承認を受けて行うとともに、廃棄の状況を記録しなければならない。
第2節 情報セキュリティ対策の実施
(情報セキュリティ実施手順書の非公開)
第15条 情報セキュリティ実施手順書は、公にすることにより天草広域連合の行政運営に重大な支障を及ぼす情報資産であることから、原則として、天草広域連合情報公開条例第7条に該当する不開示情報とする。
第3節 人的セキュリティの確保
(職員の遵守義務)
第16条 職員は、情報セキュリティの重要性について認識するとともに、この規程及び情報セキュリティ実施手順書に定める事項を遵守しなければならない。
2 職員は、使用しているコンピュータを許可なく第三者が使用し、又は情報資産を閲覧することがないよう適切に管理しなければならない。
3 職員は、ネットワーク管理者の許可なくネットワークを変更してはならない。
4 職員は、重要性分類1に該当する情報資産について、管理区域外への持出し又はネットワークによる外部との送受信を行ってはならない。ただし、情報資産のバックアップ、情報資産脅威に対する緊急避難その他合理的な理由がある場合で情報セキュリティ管理者の許可を受けたときは、この限りでない。
5 職員は、職務上知り得た情報資産を漏らしてはならない。その職を退いた後も同様とする。
6 職員は、業務の目的外において電子メールの送受信並びに情報システム及びインターネットの利用を行ってはならない。
7 職員は、情報システムへの接続は必要最小限にしなければならない。
8 職員は、第33条第3項に規定するコンピュータウイルス対策に係る指示を遵守しなければならない。
9 職員は、自己が管理するパスワードに関し、次の事項を遵守しなければならない。
(1) パスワードの漏えいを防止する手段を講ずるとともに、他の者が知り得る状態にしないこと。
(2) パスワードは、十分な長さとし、文字列が想像し難いものとすること。
(3) パスワードの変更は、その漏えい又は漏えいのおそれがあった場合のほか、定期的に行うこと。
(研修及び訓練)
第17条 ネットワーク管理者は、職員に対し、情報セキュリティ対策に対する意識の向上について啓発に努めるとともに、この規程に定める事項について研修を実施するものとする。
2 ネットワーク管理者は、ネットワーク等を維持させるための知識の習得に努めるとともに、情報資産脅威について研究し、情報資産脅威の発生を想定した訓練を実施するものとする。
3 情報セキュリティ管理者は、職員に対し、情報システムの操作方法を習得する訓練等を適宜実施するものとする。
4 情報システムの開発、管理、運用及び保守に携わる職員は、必要な技術力を習得し、及び維持することに努めなければならない。
(ICカード等の管理)
第18条 ネットワーク管理者及び情報セキュリティ管理者(以下「ネットワーク管理者等」という。)は、情報資産にアクセスするためのパスワードその他認証に関する情報(以下「パスワード等」という。)及びそれを格納するもの(以下「ICカード等」という。)を紛失、損傷、滅失、盗用等のないよう適切に管理しなければならない。
2 職員は、ICカード等の紛失等があった場合は、遅滞なくネットワーク管理者等に報告しなければならない。
(業務委託等に関する管理)
第19条 ネットワーク管理者等は、情報資産を取り扱う業務の遂行に当たり、委託業者と当該業務について契約を締結する場合は、当該契約その他取決め等により次の事項を約定しなければならない。広域連合があらかじめ承認した再委託の契約をする場合も、同様とする。
(1) この規程及び情報セキュリティ実施手順書に規定する事項の遵守義務
(2) 広域連合が提供した情報資産の目的外利用及び当該委託業者以外への提供の禁止
(3) 広域連合が提供した情報資産の返還義務
(4) 委託した業務に関する報告義務並びに監督及び検査の実施
(5) 委託業者の従業者に対する情報セキュリティ対策についての教育の実施
(6) 契約に違反したときの損害賠償
第4節 物理的セキュリティの確保
(サーバ等)
第20条 サーバ等は、ネットワーク管理者と協議の上、特別管理区域に設置するものとする。この場合において、必要に応じサーバ等を固定する等の措置をとらなければならない。
2 サーバ等は、ネットワーク管理者と協議の上、その二重化等によりネットワーク等が安全に稼動できるものを選定する。
3 サーバ等は、ネットワーク管理者等が指名した職員又は委託業者以外の者が利用できないようにしなければならない。
(特別管理区域の管理)
第21条 特別管理区域は、火災、水害、ほこり、振動、温度、湿度、床荷重等の影響を可能な限り排除した物理的対策を行わなければならない。この場合において、入口、開口部等は、必要最小限としなければならない。
2 特別管理区域は、必要に応じ、常時監視できるようにしなければならない。
3 特別管理区域への入退室は、ネットワーク管理者が許可した者のみができるものとし、入退室管理簿、パスワード等による入退室管理を行うものとする。この場合において、入室に当たっては、身分証明書等による本人確認を併せて行うものとする。
4 特別管理区域に機器等を搬出入する場合は、あらかじめネットワーク管理者と協議の上、当該機器等の既存の情報システムに対する安全性を確認するとともに、職員以外の者が当該機器等を搬出入する際には職員が立ち会う等の必要な措置をとるものとする。
5 特別管理区域に係る電気設備の保守点検等を行う場合は、あらかじめネットワーク管理者と協議しなければならない。
6 特別管理区域に職員が不在となる場合は、施錠する等、第3項の許可のない者の侵入を防ぐ措置をとらなければならない。
(機器構成の変更の禁止)
第22条 ネットワークを使用するコンピュータに係る機器の増設、改造その他物理的及び論理的な改変を行ってはならない。ただし、業務の効率化等、特に合理的な理由がある場合であって、ネットワーク管理者がその改変を承認したときは、この限りでない。
(ネットワークの管理)
第23条 情報統括管理者は、ネットワークの配線が不正に接続し、遮断し、若しくは傍受し、又は損傷し、若しくは切断されることがないよう、可能な限り必要な措置をとらなければならない。
2 ネットワークの配線の変更及び追加は、ネットワーク管理者が行う。この場合において、ネットワークの配線の変更及び追加が生ずる事務室等の配置の変更等については、あらかじめ、ネットワーク管理者と協議しなければならない。
3 ネットワークに使用する通信回線の新設は、情報統括管理者の許可を受けなければならない。この場合において、通信の伝送途上において破壊、盗聴、改ざん、消去等が生じないよう十分な安全性を確保するとともに、広域連合の情報資産に影響が生じないことを確認しなければならない。
4 広域連合が管理していないネットワーク(以下「外部ネットワーク」という。)とネットワーク等を接続する場合は、外部ネットワークの構成、機器の配置、情報セキュリティの状況等を詳細に検討し、広域連合の情報資産に影響が生じないことを確認した上で、あらかじめ情報統括管理者の承認を受けなければならない。
5 情報統括管理者は、外部ネットワークと接続している場合に、外部ネットワークによって広域連合の情報セキュリティに問題を生ずるおそれがある場合及びネットワーク等によって外部ネットワークに問題を生ずるおそれがある場合は、速やかに、当該外部ネットワークとの接続を物理的に遮断しなければならない。
6 送受信する情報資産が重要性分類1に該当する場合は、無線の方法によるネットワークの構築は行ってはならない。
(外部に設置する装置等)
第24条 広域連合の庁舎外にサーバ等を設置する場合は、情報統括管理者の承認を受けなければならない。この場合において、情報統括管理者は、当該サーバ等の情報セキュリティ対策の状況を定期的に確認しなければならない。
第5節 技術的セキュリティの確保
第1款 情報資産のセキュリティの確保
(情報資産の管理)
第25条 情報資産は、次に定めるところにより、管理するものとする。
(1) ネットワーク管理者等は、その所管するネットワーク等のネットワーク構成図、仕様書等について最新の状態を維持するとともに、それらの変更を行った場合は、記録を作成し、適切に管理しなければならない。
(2) 情報セキュリティ管理者は、ネットワーク管理者と協議の上、その所管する情報システムに係る使用及び障害に関する事項を記録し、当該記録の盗難、改ざん、消去等を防止する措置をとった上で一定期間保存しなければならない。
(3) ネットワーク管理者等は、重要性分類1及び重要性分類2の情報資産を、定期的に複製し、施錠が可能で安全な場所に保管しなければならない。
(無許可ソフトウェアの導入禁止)
第26条 課等がネットワークを使用するコンピュータにソフトウェアを導入する場合は、ネットワーク管理者を通じて情報統括管理者の承認を受けなければならない。
2 前項の許可を受け導入したソフトウェアに係るライセンス(契約に基づき使用する権利をいう。)は、当該課等において適切に管理するとともに、当該ライセンスに係る内容をネットワーク管理者へ報告しなければならない。
第2款 アクセス等の制限
(利用者の登録等)
第27条 ネットワーク管理者等は、情報システムの利用者の登録、変更、抹消等については、情報セキュリティ実施手順書に従って行うものとする。
2 ネットワーク管理者等は、利用者の登録、変更等の記録を保存しなければならない。
(ネットワークにおけるアクセスの制限)
第28条 ネットワーク管理者は、職員が、担当する業務以外の情報システムにネットワークを利用してアクセスできないよう必要な措置をとらなければならない。
(情報資産のアクセスの制限等)
第29条 情報セキュリティ管理者は、第10条各号の分類に応じ、パスワード等によるアクセスの制限を行うものとする。この場合において、情報資産の暗号化等による内容の秘密化を必要に応じ行うものとする。
(パスワード等の管理)
第30条 ネットワーク管理者等は、パスワード等(次項に規定する職員が自ら設定するパスワードを除く。)に関する情報資産を厳重に管理しなければならない。
2 ネットワーク管理者は、職員にパスワードを発行する場合は、必要に応じ仮のパスワードを発行し、当該職員が当該仮のパスワードを変更することで自らパスワードを設定できるようにしなければならない。
3 ネットワーク管理者等は、パスワード等を第三者に不正に利用されないよう必要な措置をとらなければならない。
第3款 情報システムの調達
(情報システムの調達)
第31条 情報セキュリティ管理者は、情報システムを調達しようとする場合は、機器構成、ソフトウェア、調達後の運用等の内容が情報セキュリティ上問題ないか、あらかじめ確認しなければならない。
2 前項の場合において、情報セキュリティ管理者は、当該情報システムに係る仕様書その他情報セキュリティを確認することのできる書面を整備しなければならない。
第4款 コンピュータウイルス対策
(ウイルス対策ソフトウェアの導入)
第32条 情報セキュリティ管理者は、ネットワーク管理者と協議の上、情報システムにウイルス対策ソフトウェアを導入しなければならない。
(ネットワーク管理者等のウイルス対策)
第33条 ネットワーク管理者等は、常時コンピュータウイルスに関する情報の収集に努め、必要に応じ、当該情報について職員に対して注意を喚起する等の措置をとるものとする。
2 ネットワーク管理者等は、ウイルス対策ソフトウェアを常に最新の状態に保つとともに、適宜、コンピュータ及び記録媒体についてウイルスの侵入の有無を確認しなければならない。
3 ネットワーク管理者等は、職員に対し、コンピュータウイルス対策について次の事項を遵守するよう指示しなければならない。
(1) ネットワーク管理者等が提供するウイルス情報を常に確認すること。
(2) 業務に関係のない取出可能記録媒体をコンピュータで使用しないこと。
(3) 取出可能記録媒体を使用する際に、ウイルス対策ソフトウェアでコンピュータウイルスの有無を確認すること。
(4) コンピュータウイルスを発見した場合は、ネットワーク管理者等に直ちに報告すること。
(5) コンピュータウイルスの感染が疑われる電子メールを受信した場合は、直ちに当該メールを削除すること。
第5款 不正アクセス対策
(事前の対策)
第34条 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)第2条第4項各号に規定する不正アクセス行為を防止するため、ネットワーク管理者等は、次に掲げる対策をとらなければならない。
(1) セキュリティホール(ソフトウェアの誤設計等により生じたセキュリティ上の弱点をいう。)等について情報の収集に努め、メーカー等から修正プログラムの提供があった場合は、速やかに対応すること。
(2) ネットワーク管理者が指定する情報システムには、不正アクセス行為又は不正な利用があった場合にそれらを防御し、又はその事実を検知するための専用の機器を整備する等適切な対策を行うこと。
(3) 広域連合のホームページその他ネットワーク管理者が指定する重要な情報システムにおいて、定期的に改ざんの有無を検査すること。
(4) 不正なアクセスを受けることが明白な場合は、情報システムの停止その他必要な措置をとること。
(事後の対応)
第35条 ネットワーク等に不正アクセス行為があった場合は、次に掲げる措置をとらなければならない。
(1) ネットワーク管理者等は、情報資産及び不正アクセス行為に関する記録の保存に努めるとともに、必要に応じて警察その他関係機関に通報すること。
(2) ネットワーク管理者は、職員による不正アクセス行為があった場合は、当該職員が所属する情報セキュリティ管理者に通知すること。
(3) ネットワーク管理者は、職員の不作為が原因で情報資産の漏えい、破壊、改ざん又はネットワーク等の運用ができない事態が発生し、広域連合の業務に重大な影響を及ぼした場合は、総合情報統括管理者、情報統括管理者、課等の長、当該職員を管轄する情報セキュリティ管理者及び当該職員に、速やかに報告すること。
第6節 監視及び危機管理対策
(情報システムの監視)
第36条 ネットワーク管理者等は、情報システムの監視に当たり、次に掲げる措置をとるものとする。
(1) 情報セキュリティのために必要な限度において、ネットワーク等に伝送又は記録される情報資産を監視すること。
(2) 前号の監視により得られる記録は、正確な時刻を付すとともに、ネットワーク管理者等が必要と認める期間保存すること。
(情報資産脅威に対する報告)
第37条 職員は、情報資産脅威を発見し、又は情報資産脅威について住民等からの通報があった場合は、速やかに、情報システム担当者、情報セキュリティ管理者及びネットワーク管理者に報告し、その指示に従い、必要な措置をとらなければならない。この場合において、情報セキュリティ管理者は、その内容について所属する課等の長に報告しなければならない。
2 ネットワーク管理者は、前項の報告に係る情報資産脅威及び指示の内容を情報統括管理者を通じて総合情報統括管理者に報告しなければならない。
(情報資産脅威の発生時の対応)
第38条 ネットワーク管理者は、情報資産脅威の発生又はそのおそれがある場合は、速やかに、次に掲げる措置をとらなければならない。
(1) 情報資産に重大な被害が発生した場合又はそのおそれがある場合は、当該情報資産を保護するためネットワークを遮断し、又は情報システムを停止すること。
(2) 情報資産脅威に関する証拠の保全を必要に応じ実施するとともに、再発防止の暫定的な措置を検討し、当該措置の実施を情報セキュリティ管理者に指示すること。
(3) 前号の措置を講じた後、復旧のための措置を検討し、当該措置の実施を情報セキュリティ管理者に指示すること。
(4) 情報資産脅威が発生した情報システムの復旧後、当該情報資産脅威の再発を防止するため、一定期間当該システムの運用状況の監視を情報セキュリティ管理者に指示すること。
2 情報セキュリティ管理者は、所管する情報資産に情報資産脅威の発生又はそのおそれがある場合は、連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速、かつ、円滑に実施しなければならない。この場合において、アクセスの記録及び情報資産脅威に対応した経過を記録し、かつ、保存しなければならない。
3 ネットワーク管理者等は、前2項の規定による措置を講じた後、再発を防止するため情報セキュリティ実施手順書の見直しを行わなければならない。
第4章 情報セキュリティ対策の違反への対応
(違反への対応)
第39条 職員にこの規程又は情報セキュリティ実施手順書に違反する行為があった場合は、次に掲げる措置をとる。
(1) ネットワーク管理者は、当該職員が所属する情報セキュリティ管理者に対し、直ちに違反する行為の是正その他適切な措置を行うよう指示すること。
(2) 情報セキュリティ管理者は、前号の措置を講じた後、その結果をネットワーク管理者に報告すること。
(3) 前2号の措置にかかわらず、当該違反する行為が改善されない場合は、ネットワーク管理者は、当該職員のネットワーク等に係る権限を停止し、又は取り消すことができる。この場合において、総合情報統括管理者、情報統括管理者、課等の長及び当該職員を管轄する情報セキュリティ管理者に対し、速やかに、その旨を報告しなければならない。
第5章 評価及び見直し
(情報セキュリティ対策実施状況の監査)
第40条 情報統括管理者は、この規程に定める事項が遵守されていることを確認するため、定期又は随時に情報セキュリティ対策の実施状況について内部監査を行い、その結果を総合情報統括管理者に報告しなければならない。
2 前項に定める定期に行う内部監査は、毎年8月に実施するものとする。
3 内部監査の庶務は、事務局総務企画課において処理する。
4 総合情報統括管理者は、必要に応じ、外部監査を委託することができる。
(点検の実施等)
第41条 ネットワーク管理者等は、ネットワーク等の情報セキュリティが確保されていることを確認するため、定期的に点検を行い、情報セキュリティ上の問題がある場合は、速やかに、改善措置をとらなければならない。この場合において、当該点検の結果を記録し、及び適正に保管するとともに、当該改善措置を情報統括管理者に報告しなければならない。
(評価及び見直しの実施)
第42条 総合情報統括管理者は、情報セキュリティ対策の実効性の評価を行い、広域連合長に報告するものとする。
第6章 委任
(委任)
第43条 この規程に定めるもののほか、情報セキュリティ対策に必要な事項は、総合情報統括管理者が別に定める。
附則
この訓令は、平成26年4月1日から施行する。